(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111488973.0 (22)申请日 2021.12.07 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园玉泉慧谷1号楼 (72)发明人 于泽研　高喜宝　刘佳男　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全事件分析方法、 装置、 电子设 备及存储介质 (57)摘要 本发明的实施例公开一种网络安全事件分 析方法、 装置、 电子设备及存储介质， 涉及计算机 网络安全技术领域， 能够解决现有网络安全事件 分析方法只是基于服务器或设备的日志进行分 析， 无法获取被攻击前网络安全事件中的恶意代 码的相关信息， 不利于溯源分析的问题。 所述网 络安全事件分析方法包括获取网络安全事件的 威胁指标信息， 在所有主机内部检索威胁指标信 息以获取网络安全事件中所有受害主机的基本 信息和威胁指标对应的时间信息， 根据所有受害 主机的基本信息和威胁指标对应的时间信息分 析出网络安全事件的定位信息， 以根据定位信息 对网络安全事件进行溯源， 本发 明通过多时间维 度互相对照， 完善恶意代码画像， 从而提升对该 恶意代码的防范。 权利要求书2页 说明书6页 附图2页 CN 114189378 A 2022.03.15 CN 114189378 A 1.一种网络安全 事件分析方法， 其特 征在于， 应用于电子设备； 所述方法包括： 获取网络安全 事件的威胁指标信息； 在所有主机内部检索所述威胁指标信息以获取所述网络安全事件中所有受害主机的 基本信息和威胁指标对应的时间信息； 根据所述所有受害主机的基本信息和威胁指标对应的时间信息分析出所述网络安全 事件的定位信息， 以根据所述定位信息对所述网络安全 事件进行溯源。 2.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 所述网络安全事件的威 胁指标信息， 包括： 恶意代码创建主机的威胁指标信息和/或受害 主机的威胁指标信息； 所述恶意代码创建主机的威胁指标信 息包括网络安全事件对应恶意代码的进程名、 恶 意代码所在文件的文件名、 恶意代码所在文件的文件路径和注 册表键值中的一种或多种。 3.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 所述受害主机的基本信 息， 包括： 主机名称、 MAC地址和IP地址中的至少一种。 4.根据权利要求1所述的网络安全 事件分析方法， 其特 征在于， 还 包括： 对威胁指标对应的时间信 息进行过滤， 筛选出与 所述网络安全事件相关的威胁指标对 应的时间信息 。 5.根据权利要求1或4所述的网络安全事件分析方法， 其特征在于， 所述威胁指标对应 的时间信息， 包括： 所有受害主机恶意代码创建注册表时间、 创建计划任务 时间、 访问域名时间、 访问IP时 间、 文件执 行时间、 文件最近打开时间， 日志中po wershell执行时间和IP登录时间。 6.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 所述根据 所述所有受害 主机的基本信息和威胁指标对应的时间信息分析 出所述网络安全 事件的定位信息， 包括： 对所有受害 主机的威胁指标对应的时间进行统计和排序； 根据统计和排序结果确定最 早感染恶意代码的受害 主机； 根据所述最早感染恶意代码的受害主机的威胁指标对应的时间信息确定所述网络安 全事件的定位信息 。 7.根据权利要求1或6所述的网络安全事件分析方法， 其特征在于， 所述定位信息， 包 括： 网络安全事件对应的恶意代码的创建时间、 入侵时间、 入侵方式、 攻击方式、 攻击方法、 受害主机横向感染顺序、 恶意代码执行时间和其他受害主机感染恶意代码的时间中的一种 或多种。 8.一种网络安全 事件分析装置， 其特 征在于， 包括： 获取模块， 用于获取网络安全 事件的威胁指标信息； 检索模块， 用于在所有主机 内部检索所述威胁指标信 息以获取所述网络安全事件中所 有受害主机的基本信息和威胁指标对应的时间信息； 分析模块， 用于根据 所述所有受害主机的基本信 息和威胁指标对应的时间信 息分析出 所述网络安全 事件的定位信息， 以根据所述定位信息对所述网络安全 事件进行溯源。 9.根据权利要求8所述的网络安全 事件分析装置， 其特 征在于， 还 包括：权　利　要　求　书 1/2 页 2 CN 114189378 A 2过滤模块， 用于对威胁指标对应的时间信息进行过滤， 筛选出与所述网络安全事件相 关的威胁指标对应的时间信息 。 10.根据权利要求8所述的网络安全 事件分析装置， 其特 征在于， 还 包括： 统计和排序模块， 用于对所有受害 主机的威胁指标对应的时间进行统计和排序； 分析模块还用于根据统计和排序结果确定最早感染恶意代码的受害主机， 根据 所述最 早感染恶意代码的受害主机的威胁指标对应的时间信息分析出所述网络安全事件的定位 信息。 11.一种电子设备， 其特征在于， 所述电子设备包括： 壳体、 处理器、 存储器、 电路板和电 源电路， 其中， 电路板安置在壳体 围成的空间内部， 处理器和存储器设置在电路板上； 电源 电路， 用于为上述电子 设备的各个电路或器件供电； 存储器用于存储 可执行程序 代码； 处理 器通过读取存储器中存储的可执行程序代码来运行与可执行程序 代码对应的程序， 用于执 行前述权利要求1～7任一项所述的网络安全 事件分析方法。 12.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现前述权利要求 1～ 7任一项所述的网络安全 事件分析方法。权　利　要　求　书 2/2 页 3 CN 114189378 A 3